讓路由器成為你防範的堡壘�

在典型的校園網環境中，路由器一般處於防火牆的外部，負責與Internet的連接。這種拓扑結構實際上是將路由器暴露在校園網
安全防線之外，如果路由器本身又未採取適當的安全防範策略，就可能成為攻擊者發起攻擊的一塊跳板，對內部網路安全造成
威脅。 

本文以Cisco 2621路由器為例，詳細介紹將一台路由器配置為堡壘路由器的實現方法，使之成為校園網抵御外部攻擊的第一道
安全螢屏障。 

一、適用於訪問表的安全防範策略 

1. 防止外部IP地址欺騙 

外部網路的使用者可能會使用內部網的合法IP位址或者循環位址作為來源位置，從而實現非法訪問。針對此類問題可建立如下
訪問列表： 

access-list 101 deny ip 10.0.0.0 0.255.255.255 any 

access-list 101 deny ip 192.168.0.0 0.0.255.255 any 

access-list 101 deny ip 172.16.0.0 0.0.255.255 any 

! 阻止來源位置為私有地址的所有通信流。 

access-list 101 deny ip 127.0.0.0 0.255.255.255 any 

! 阻止來源位置為回環地址的所有通信流。 

access-list 101 deny ip 224.0.0.0 7.255.255.255 any 

! 阻止來源位置為多目的位址的所有通信流。 

access-list 101 deny ip host 0.0.0.0 any 

! 阻止沒有列出來源位置的通信流。 

注：可以在外部連接的向內方向使用101過濾。 

2. 防止外部的非法探測 

非法訪問者對內部網路發起攻擊前，往往會用ping或其他命令探測網路，所以可以透過禁止從外部用ping、traceroute等探測網
路來進行防範。可建立如下訪問列表: 

access-list 102 deny icmp any any echo 

! 阻止用ping探測網路。 

access-list 102 deny icmp any any time-exceeded 

! 阻止用traceroute探測網路。 

注：可在外部連接的向外方向使用102過濾。在這裡主要是阻止答復輸出，不阻止探測進入。 

3. 保護路由器不受攻擊 

路由器一般可以透過telnet或SNMP訪問，應該確保Internet上沒有人能用這些協議攻擊路由器。假定路由器外部連接serial0的IP為
200.200.200.1，內部連接fastethernet0的IP為200.200.100.1。可以生成阻止telnet、SNMP服務的向內過濾保護路由器。建立如下列
表： 

access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23 

access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23 

access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161 

access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161 

注: 在外部連接的向內方向使用101過濾。當然這會對管理員的使用造成一定的不便，這就需要在方便與安全之間做出選擇。 

4. 阻止對關鍵連接埠的非法訪問 

關鍵連接埠可能是內部系統使用的連接埠或者是防火牆本身暴露的連接埠。對這些連接埠的訪問應該加以限制，否則這些設備
就很容易受到攻擊。建立如下訪問列表： 

access-list 101 deny tcp any any eq 135 

access-list 101 deny tcp any any eq 137 

access-list 101 deny tcp any any eq 138 

access-list 101 deny tcp any any eq 139 

access-list 101 deny udp any any eq 135 

access-list 101 deny udp any any eq 137 

access-list 101 deny udp any any eq 138 

access-list 101 deny udp any any eq 139 

5. 對內部網路的重要伺服器進行限制 

對於沒有配備專用防火牆的校園網路，採用動態分組過濾技術建立對重要伺服器的訪問限制就顯得尤為重要。對於配備了專用
防火牆的校園網路，此項任務可以在防火牆上完成，這樣可以減輕路由器的負擔。無論是適用於路由器實現，還是在防火牆上
完成設置，首先都應該制定一套訪問規則。可以考慮建立如下的訪問規則: 

● 允許外部使用者到Web伺服器的向內連接請求。 

● 允許Web伺服器到外部使用者的向外答復。 

● 允許外部SMTP伺服器向內部信件伺服器的向內連接請求。 

● 允許內部信件伺服器向外部SMTP伺服器的向外答復。 

● 允許內部信件伺服器向外DNS查詢。 

● 允許到內部信件伺服器的向內的DNS答復。 

● 允許內部主電腦的向外TCP連接。 

● 允許對請求主電腦的向內TCP答復。 

其他訪問規則可以根據各自的實際情況建立。列出允許的所有通信流後，設計訪問列表就變得簡單了。注意應將所有向內對話
應用於路由器外部連接的IN方向，所有向外對話應用於路由器外部連接的OUT方向。 

二、常見攻擊手段及其對策 

1. 防止外部ICMP重定向欺騙 

攻擊者有時會利用ICMP重定向來對路由器進行重定向，將本應送到正確目標的資訊重定向到它們指定的設備，從而獲得有用
資訊。禁止外部使用者使用ICMP重定向的命令如下： 

interface serial0 

no ip redirects 

2. 防止外部源路由欺騙 

源路由選擇是指使用資料鏈路層資訊來為資料報進行路由選擇。該技術跨越了網路層的路由資訊，使入侵者可以為內部網的資
料報指定一個非法的路由，這樣原本應該送到合法目的地的資料報就會被送到入侵者指定的地址。禁止使用源路由的命令如
下： 

no ip source-route 

3. 防止盜用內部IP地址 

攻擊者可能會盜用內部IP地址進行非法訪問。針對這一問題，可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地
址之上。具體命令如下： 

arp 固定IP地址 MAC地址 arpa 

4. 在源站台防止smurf 

要在源站台防止smurf，關鍵是阻止所有的向內回顯請求。這就要防止路由器將指向網路廣播地址的通信映射到區域網路廣播地
址。可以在LAN連接方式中輸入如下命令： 

no ip directed-broadcast 

三、關閉路由器上不用的服務 

路由器除了可以提供路徑選擇外，它還是一台伺服器，可以提供一些有用的服務。路由器執行的這些服務可能會成為敵人攻擊
的突破口，為了安全起見，最好關閉這些服務。 

透過以上介紹的各種方法，我們成功地將一台普通路由器配置為一台堡壘路由器，在沒有增加任何投入的情況下，提高了整個
園區網的安全性。但應該說明的是，堡壘路由器的實現是以犧牲整個網路的效率為代價的，可能會影響到園區網對外訪問的速
度。